查閱者 URL 保護

控制名稱

查閱者 URL 保護

建議組態

• HTTP 查閱者原則 - 選取「strict-origin-when-cross-origin」

設定>工作階段設定>查閱者 URL 保護>包含查閱者原則 HTTP 標題>HTTP 查閱者原則>嚴格來源時交叉來源。

控制概觀

Salesforce 中的「查閱者 URL 保護」控制項 (位於「工作階段設定」下) 可讓「查閱者原則」HTTP 標頭控制當使用者按一下連結或載入資源時,與外部網站共用的內部 URL 資訊量。透過選取安全原則 (例如「origin-when-cross-origin」),系統會指示瀏覽器僅將 Salesforce 網域名稱提供給第三方網站,進而有效遮蔽完整 URL 路徑中包含的敏感資料,例如組織識別碼、記錄識別碼或工作階段參數。

未設定安全性風險

未啟用「查閱者 URL 保護」會增加敏感中繼資料洩漏的風險,因為瀏覽器會在按一下輸出連結或載入第三方資源時,將完整的 Salesforce URL (包括組織識別碼、記錄識別碼和私人參數) 傳送至外部 Web 伺服器。此曝光可讓外部執行動作使用者記錄和分析您的內部資料結構,這可用於鎖定目標的網路釣魚、社交工程或對應受保護的內部記錄階層。

威脅情況

員工在檢視敏感財務記錄時按一下外部連結,導致瀏覽器將完整的 Salesforce URL (包括唯一的記錄識別碼) 傳送至目的地 Web 伺服器的記錄。監視這些記錄的威脅執行動作使用此中繼資料來識別您的內部記錄結構,並啟動特定參照使用者剛剛存取之私人記錄的鎖頭釣魚攻擊。

估計 CVSS 分數範圍

嚴重 (9.0–10.0)。

風險影響考量事項

主要風險影響是內部公司識別碼和記錄層級中繼資料未經授權洩漏給外部實體。

風險愈高時機

由於缺少警告或封鎖「外部重新導向」原則,因此中繼資料洩漏的風險會大幅增加,這可讓使用者直接瀏覽至不受信任的第三方網站,而無須通知他們的工作階段資訊正在共用。

低風險或無風險的時機

若要在未完整啟用全域查閱者 URL 保護時將中繼資料洩漏的風險降到最低,組織可以實作「重新導向的信任 URL」,以在使用者瀏覽至不受信任的外部網域之前封鎖或警告使用者。

業務與整合考量事項

實作嚴格的「查閱者 URL 保護」可能會中斷依賴剖析完整 Salesforce URL 路徑以識別特定記錄或在跨網域瀏覽期間維護內容的外部分析、行銷追蹤器或舊版第三方整合。

建議的補救措施

在交叉來源時啟用具有嚴格來源的「HTTP 查閱者原則」。

安全性健康審查指南

安全性健康審查會檢查工作階段設定查閱者原則的工作階段設定,以使用 Strict-Origin - When-Cross-Origin 進行設定,以符合產業最佳作法。